『神探tcpdump終結招』-linux命令5分シリーズの四十三

1388 ワード

【シリーズ記事】
『神探tcpdump第一手』-linux命令5分シリーズの35『神探tcpdump第二手』-linux命令5分シリーズの36『神探tcpdump第三手』-linux命令5分シリーズの37『神探tcpdump第四手』-linux命令5分シリーズの38『神探tcpdump第五手』-linux命令5分シリーズの39『神探tcpdump第六手』-linux命令5分シリーズの40《神探tcpdump第七招》-linux命令五分系列之四十一《神探tcpdump第八招》-linux命令五分系列之四十二
==
前の8つの文章を真剣に読んだことがあるなら、tcpdumpの最も主要な技はもう慣れているはずです.おめでとうございます.
最後の「終結策」では、これまでに言及しなかった「小さな秘籍」を紹介し、ネット問題を追跡し、プロトコル分析を行う際に使えるようにします.
[秘籍一]
-Aオプションを使用すると、tcpdumpはASCII形式のパケット内容しか表示されず、16進数形式では表示されません.
[秘籍二]
-Xオプションを使用すると、tcpdumpはネットワーク層プロトコルのみから表示されるのではなく、イーサネット部分からネットワークパッケージの内容を表示します.
[秘籍三]
次のコマンドを使用すると、tcpdumpには選択可能なすべてのスナップショットオブジェクトがリストされます.
# tcpdump -D
1.eth0
2.any (Pseudo-device that captures on all interfaces)
3.lo

[秘籍四]
どのICMPパケットの「ターゲットが到達できない、ホストが到達できない」パケットを表示するかを確認するには、次のフィルタ式を使用します.
icmp[0:2]==0x0301

[秘籍五]
TCPプロトコルのSYN、ACK、FIN識別フィールドを抽出するには、次の構文を使用します.
tcp[tcpflags] & tcp-syn
tcp[tcpflags] & tcp-ack
tcp[tcpflags] & tcp-fin

[秘籍六]
TCPプロトコルのSYN-ACKパケットを抽出するには、上記の方法だけでなく、最も本質的な方法も直接使用できます.
tcp[13]==18

[秘籍七]
区間内のポートをキャプチャする場合は、portrange構文を使用します.
tcpdump -i eth0 -nn 'portrange 52-55' -c 1  -XX

では、私たちの「神探tcpdumpシリーズ文章」はここまで書きました.9つの文章を書いて、自覚的な内容の編成はまだ合理的で、友达にネットの捕獲と流量の分析の面で一定の収穫があることを望んでいます!